Pregunta:
Algunas veces intenté cambiar una contraseña de usuario en varias máquinas Linux y cuando la nueva contraseña era similar a la anterior, el sistema operativo se quejó de que eran demasiado similares.
Siempre me pregunté, ¿cómo sabe esto el sistema? Pensé que la contraseña se guardaba como un hash. ¿Significa esto que cuando el sistema puede comparar la nueva contraseña en busca de similitudes, la anterior se guarda realmente como texto sin formato?
Respuesta:
Dado que debe proporcionar tanto la contraseña anterior como la nueva al usar passwd , se pueden comparar fácilmente en texto sin formato, en la memoria, sin escribirlas en algún lugar de la unidad.
De hecho, su contraseña tiene un hash cuando finalmente se almacena, pero hasta que eso suceda, la herramienta donde está ingresando su contraseña puede, por supuesto, acceder a ella directamente como cualquier otro programa puede acceder a las cosas que ingresó en su teclado mientras estaba leyendo desde STDIN.
Esta es una característica del sistema PAM que se utiliza en segundo plano de la herramienta passwd . Las distribuciones modernas de Linux utilizan PAM.
Más específicamente, pam_cracklib es un módulo para PAM que permite rechazar contraseñas en base a varias debilidades que las harían muy vulnerables.
No son solo las contraseñas que son demasiado similares las que pueden considerarse inseguras. El código fuente tiene varios ejemplos de lo que se puede verificar, por ejemplo, si una contraseña es un palíndromo o cuál es la distancia de edición entre dos palabras. La idea es hacer que las contraseñas sean más resistentes a los ataques de diccionario.
Consulte también la página de pam_cracklib .